نفوذگری که در حال آلوده کردن سایر نفوذگران با بدافزار است!

امروزه اینترنت مملو از «انجمن‌های نفوذ» است، جایی که مردم به‌راحتی می‌توانند نفوذ را یاد بگیرند و حتی بارگیری و خرید ابزار نفوذ را انجام دهند.

در این انجمن‌ها نمی‌توان بدافزارهایی را که گروه‌های APT (جاسوسی اینترنتی) با استفاده از آن‌ها به بهره‌برداری می‌پردازند پیدا کرد. این بدافزارها حتی در اکثر به‌روزترین موتورهای ضدویروس نیز قابل ردیابی نیستند. این انجمن‌ها جایی برای مجرمان اینترنتی معمولی است تا تلاش رقت‌انگیز خود را برای توسعه‌ی بدافزارها به فروش بگذارند که در بیشتر اوقات تحت نظارت شدید شرکت‌های امنیتی هستند؛ عمدتاً به این دلیل که این انجمن‌ها از طریق گوگل قابل‌دسترس هستند و همه می‌توانند آن‌ها را ببینند.

طبق گزارش سوفوس، در سال گذشته یکی از نفوذگرها بیشتر زمان خود را صرف هدف قرار دادن نفوذ گرهای دیگر کرده است، درست به‌اندازه‌ی هدف قرار دادن سایر کاربران معمولی.

این نفوذگر با استفاده از نام‌های پهان ، پهان ۱۲، پهان ۱۲۳، تبلیغاتی را برای ابزارهای نفوذ متنوع در چندین انجمن نفوذ اضافه می‌کرده اما سوفوس یافته است که تمام این ابزارها آلوده به بدافزار بوده‌اند.

محتمل‌ترین انگیزه برای کارهای این نفوذگر این است که او سعی دارد یاد بگیرد سایر نفوذگران در حال انجام چه‌کارهایی هستند، یا با استفاده از Keyloggerها، کلمه‌ی عبور آن‌ها را بدزدد و یا کنترل‌کننده‌های بدافزار/ بات‌نت‌هایشان را برباید.

سوفوس گزارش می‌کند که پهان در ۳ مورد سعی داشته است تا دیگران را با بدافزار خاصی آلوده کند.

مورد اول مربوط به تبلیغی در انجمن نفوذ زیرزمینی است که در آنجا پهان سعی در بارگیری رایگان Aegis Crypter داشته است؛ ابزاری که برای پیچیده‌تر کردن و مخفی کردن بدافزار از پویشگران ضدویروس به کار می‌رود. طبق گزارش‌های سوفوس این ابزار آلوده به تروجان RxBot بوده است. دومین مورد مربوط به ماه مارس سال ۲۰۱۶ است، جایی که پهان در حال فروش یکی از انواع KeyBase Keylogger ها بود. Keylogger مذکور خریداران را به بدافزار COM Surrogate آلوده می‌کند؛ این بدافزار نیز RxBot را بارگیری می‌کند. RxBot تروجانی است که رایانه‌ها را درون باتنت محبوس می‌کند.

آخرین مورد به جولای سال ۲۰۱۶ بازمی‌گردد که در LeakForums، پهان با استفاده از نام Pahan۱۲ مدل جدید تروجان دسترسی از راه دور PHP-محور را با نام SLICK RAT عرضه می‌کرد. محقق سوفوس، گابور اسزاپانوس می‌گوید که SLICK RAT قربانیان را با KeyBase keylogger آلوده می‌کرده و پس از جمع‌آوری کلمه‌های عبور، داده‌ها را به پهان می‌فرستاده است.

مشخص نیست که چه تعداد از نفوذگران مبتدی توسط بدافزارهای پهان آلوده‌شده‌اند اما طبق مشاهدات اخیر، با انتشار تروجان دسترسی از راه دور جدیدی به نام Revenge امروزه نفوذگرها انتظار دارند ابزارهای نفوذی که از چنین انجمن‌‌هایی بارگیری می‌کنند درپشتی داشته باشند و بدین ترتیب معمولاً قبل از نصب بر روی رایانه‌های شخصی خود، کد آن‌ها را بازبینی می‌کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter